CN107077433B - 优化装置、优化方法 - Google Patents
优化装置、优化方法 Download PDFInfo
- Publication number
- CN107077433B CN107077433B CN201580060580.6A CN201580060580A CN107077433B CN 107077433 B CN107077433 B CN 107077433B CN 201580060580 A CN201580060580 A CN 201580060580A CN 107077433 B CN107077433 B CN 107077433B
- Authority
- CN
- China
- Prior art keywords
- attack
- information
- point
- network
- corresponding point
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/302—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information gathering intelligence information for situation awareness or reconnaissance
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/141—Denial of service attacks against endpoints in a network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Technology Law (AREA)
- Evolutionary Computation (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
优化装置(10)收集作为与网络攻击有关的信息的网络攻击信息、以及作为与包括受到该网络攻击的设备的系统整体有关的信息的系统信息。并且,优化装置(10)根据收集到的网络攻击信息和系统信息确定网络攻击的攻击路径,将位于该攻击路径上且对于网络攻击具有有效的应对功能的设备作为应对点的候选进行提取。接着,优化装置(10)使用所设定的优化逻辑,从所提取的应对点的候选中选择应对点。
Description
技术领域
本发明涉及优化装置、优化方法。
背景技术
以往,为了防御网络攻击,静态设置防火墙或WAF(Web Application Firewall:网络应用防火墙)等的设备,基于这种准备而根据事先设定的黑名单或签名等的规则而进行应对。
这里,使用图12的示例,对现有的确定应对点的处理进行说明。在图12的示例中,攻击者经由外部NW(NetWork:网络)40A、DC(Data Center:数据中心)NW40B、虚拟FW(FireWall:防火墙)40C、虚拟NW40D、虚拟LB(Load Balancer:负载均衡器)40E、虚拟NW40F、虚拟WAF40G,攻击Web Server40H。另外,DCNW40B不仅与虚拟FW40C连接,还与虚拟NW40I和虚拟NW40J连接。
如图12举例所示,例如作为为了应对攻击而事先确定的个别规则,确定了多个规则1~3。并且,存在网络攻击的情况下,确定与攻击者、受害者、攻击类别、有效的应对功能等有关的信息(图12中记作网络攻击信息)所匹配的规则3。并且,作为与规则3对应的应对点而选择应对点3,确定执行该应对点的应对功能。
此外,作为确定针对网络攻击的应对点进行防御的技术,已知通过对攻击通信量进行追踪而搜索靠近攻击者的防火墙并在上游防御攻击的技术。例如,已知作为DoS(Denial of Service:拒绝服务)攻击等发生时的一次应对而在检测场所使用专用FW阻止攻击,作为二次应对而对通信量进行追踪,由此搜索靠近攻击者的专用FW,在通信量的上游靠近攻击者的应对点阻止攻击的技术(例如,参照非专利文献1)。
另外,作为针对网络攻击的防御方法,已知如下技术,动态变更设备的中的安全策略,进行Bayesian spam filters(贝叶斯垃圾邮件过滤)或针对范围的动态访问控制,由此防御网络攻击(例如,参照非专利文献2)。
在先技术文献
非专利文献
非专利文献1:Eric Y.Chen,"AEGIS:An Active-Network-Powered DefenseMechanism against DDoS Attacks",IWAN'01Proceedings of the IFIP-TC6ThirdInternational Working Conference on Active Networks,P.1-15
非专利文献2:W.Keith Edwards,Erika Shehan Poole,Jennifer Stoll,"Security Automation Considered Harmful?",NSPW'07Proceedings of the2007Workshop on New Security Paradigms,P.33-42
发明内容
发明欲解决的课题
然而,在上述的现有技术中,无法对应于网络上的设备的负荷状态或网络结构的动态变更,存在有时无法在最优的应对点使用最优的应对功能适当地防御网络攻击的课题。
例如,在发生多次网络攻击,安全应对集中于特定的应对点的情况下,对象设备的CPU(Central Processing Unit:中央处理单元)或存储器等的资源会发生枯竭,应对功能不进行动作,有可能无法适当防御网络攻击。
此外,例如在通过虚拟防火墙等的虚拟设备的动态追加等而使得网络结构动态变更的情况下,由于未考虑到新的应对点的增加,因此有时无法在新的网络结构上变更为最优的应对点。
另外,在上述搜索靠近攻击者的防火墙并在上游防御攻击的技术中,通过追踪攻击者的IP地址,能够选择更靠近攻击者的应对点,然而仅以专用装置作为对象,因此对于由虚拟防火墙或IPS等的不同种类的安全设备构成的网络结构无法动态选择最优的应对点。此外,上述通过进行动态访问控制来防御网络攻击的技术也同样无法从多个安全设备中动态选择最优的应对点。
用于解决课题的手段
为了解决上述课题,达成目的,本发明的优化装置的特征在于,该优化装置具有:收集部,其收集网络攻击信息以及系统信息,该网络攻击信息是与网络攻击有关的信息,该系统信息是与包括受到了该网络攻击的设备的系统整体有关的信息;提取部,其根据通过所述收集部收集到的网络攻击信息和系统信息确定所述网络攻击的攻击路径,将位于该攻击路径上且对于所述网络攻击具有有效的应对功能的设备作为应对点的候选进行提取;以及选择部,其使用所设定的优化逻辑,从通过所述提取部提取出的应对点的候选中选择应对点。
此外,本发明的优化方法由优化装置执行,该优化方法包括:收集工序,收集网络攻击信息以及系统信息,该网络攻击信息是与网络攻击有关的信息,该系统信息是与包括受到该网络攻击的设备的系统整体有关的信息;提取工序,根据通过所述收集工序收集到的网络攻击信息和系统信息,确定所述网络攻击的攻击路径,将位于该攻击路径上且对于所述网络攻击具有有效的应对功能的设备作为应对点的候选进行提取;以及选择工序,使用所设定的优化逻辑,从通过所述提取工序提取出的应对点的候选中选择应对点。
此外,本发明的优化程序的特征在于,该优化用于使计算机执行如下步骤:收集步骤,收集作为与网络攻击有关的信息的网络攻击信息、以及作为与包括受到该网络攻击的设备的系统整体有关的信息的系统信息;提取步骤,根据通过所述收集步骤收集到的网络攻击信息和系统信息确定所述网络攻击的攻击路径,将位于该攻击路径上且对于所述网络攻击具有有效的应对功能的设备作为应对点的候选进行提取;以及选择步骤,使用被设定的优化逻辑,从通过所述提取步骤提取出的应对点的候选中选择应对点。
发明的效果
根据本发明,可获得对应于网络上的设备的负荷状态或网络结构的动态变更,能够在最优的应对点使用最优的应对功能适当地防御网络攻击的效果。
附图说明
图1是表示包括第一实施方式的优化装置的系统的结构的图。
图2是表示第一实施方式的优化装置的结构的框图。
图3是表示在网络攻击信息存储部中存储的表的一例的图。
图4是表示在系统信息存储部中存储的表的一例的图。
图5是对确定网络攻击的攻击路径的处理进行说明的图。
图6是对提取应对点的候选的处理进行说明的图。
图7是对从应对点的候选中使用优化逻辑选择应对点的处理进行说明的图。
图8是对取得执行应对点处的应对功能所需的参数的处理进行说明的图。
图9是对优化装置确定最优的应对点的处理的流程进行说明的图。
图10是表示第一实施方式的优化装置的应对点优化处理的流程的流程图。
图11是表示执行优化程序的计算机的图。
图12是对现有的确定应对点的处理的流程的一例进行说明的图。
具体实施方式
以下,根据附图对本申请的优化装置、优化方法和优化程序的实施方式进行详细说明。另外,并非通过该实施方式对本申请的优化装置、优化方法和优化程序加以限定。
[第一实施方式]
在以下的实施方式中,按照第一实施方式的系统的结构、优化装置的结构和优化装置的处理的流程的顺序进行说明,最后说明第一实施方式的效果。
[系统的结构]
图1是表示包括第一实施方式的优化装置的系统的结构的图。图1所示的系统具有优化装置10、安全分析系统20、应对功能控制装置30、位于网络攻击的攻击路径上的设备或NW(外部NW40A、DCNW40B、虚拟FW40C、虚拟NW40D、虚拟LB40E、虚拟NW40F和虚拟WAF40G)和受到攻击的Web Server40H。
此外,在图1的示例中,攻击者按顺序经由外部NW40A、DCNW40B、虚拟FW40C、虚拟NW40D、虚拟LB40E、虚拟NW40F、虚拟WAF40G,攻击Web Server40H。另外,DCNW40B不仅与虚拟FW40C连接,还与虚拟NW40I和虚拟NW40J连接。
优化装置10收集攻击者、攻击类别、应对功能等的网络攻击信息和网络结构信息或资源利用状况信息等的系统信息,使用优化逻辑动态选择最优的应对点和应对功能。
具体而言,优化装置10从安全分析系统20收集作为与网络攻击有关的信息的网络攻击信息和作为与包括受到该网络攻击的设备的系统整体有关的信息的系统信息。这里,关于从安全分析系统20收集网络攻击信息和系统信息的契机,既可以由优化装置10向安全分析系统20进行轮询,也可以由安全分析系统20对优化装置10通过推送进行输入。另外,关于网络攻击信息和系统信息,也可以不从安全分析系统20进行收集,而将人员(安全操作者)的判断结果作为网络攻击信息和系统信息经由用户界面而手动输入。
接着,优化装置10根据收集到的网络攻击信息和系统信息,确定网络攻击的攻击路径,将位于该攻击路径上且对于网络攻击具有有效的应对功能的设备作为应对点的候选进行提取。并且,优化装置10从提取出的应对点的候选中使用所设定的优化逻辑选择应对点。此后,优化装置10将所选择的应对点和有效的应对功能输出给应对功能控制装置30,使应对功能控制装置30执行应对功能。
安全分析系统20是进行SIEM(Security Information and Event Management:安全信息和事件管理)分析等的安全分析的系统。例如,在安全分析系统20中,发生网络攻击的情况下,作为关于该网络攻击的网络攻击信息,对网络攻击的类别、作为攻击者的识别符的IP地址、作为受害者的识别符的IP地址、有效的应对功能的信息进行管理。此外,在安全分析系统20中,作为系统信息,对表示每个服务的利用路径和安全应对点的网络结构信息、网络上的每个应对点的应对功能信息、应对点的资源利用状况信息进行管理。这里的被管理的系统信息是最新的系统信息,在发生了系统结构等的变更的情况下,随时被更新。
应对功能控制装置30从优化装置10受理使其执行应对功能的应对点的通知,对成为该应对点的设备指示应对功能的执行,由此控制应对功能的执行。在图1的示例中,对虚拟FW40C、虚拟NW40D和虚拟NW40I指示应对功能的执行。另外,关于应对功能的执行控制,可以不设置应对功能控制装置30,而由优化装置10对成为应对点的设备直接指示应对功能的执行。
[优化装置10的结构]
下面,使用图2,对图1所示的优化装置10的结构进行说明。图2是表示第一实施方式的优化装置10的结构的框图。如图2所示,该优化装置10具有通信处理部11、控制部12和存储部13。以下对以上各部的处理进行说明。
通信处理部11对与在和安全分析系统20或应对功能控制装置30之间交互的各种信息有关的通信进行控制。例如,通信处理部11从安全分析系统20接收网络攻击信息和系统信息。此外,例如,通信处理部11将表示针对网络攻击的应对点或应对功能的信息等发送给应对功能控制装置30。
存储部13储存控制部12的各种处理所需的数据和程序,而作为与本发明尤为密切关联的结构,具有网络攻击信息存储部13a和系统信息存储部13b。例如,存储部13是RAM(Random Access Memory:随机存取存储器)、闪存(Flash Memory)等的半导体存储器元件或硬盘、光盘等的存储装置等。
网络攻击信息存储部13a存储作为与网络攻击有关的信息的网络攻击信息。例如,网络攻击信息存储部13a如图3所示,作为网络攻击信息而将表示网络攻击的类别的“攻击的类别”、成为攻击者的终端的识别符的“攻击者IP地址”、成为受害者的终端的识别符的“受害者IP地址”、表示针对网络攻击的有效的应对功能的“有效的应对功能”对应起来存储。
举出图3的示例具体进行说明,网络攻击信息存储部13a将攻击的类别“DoS”、攻击者IP地址“A.A.A.A”、受害者IP地址“B.B.B.B”和有效的应对功能“Layer4切断”对应起来存储。
系统信息存储部13b存储作为与包括受到网络攻击的设备的系统整体有关的信息的系统信息。具体而言,系统信息存储部13b按照表示每个服务的利用路径和应对点的网络结构信息以及应对点,存储有表示应对点具备的应对功能的应对功能信息和表示应对点的资源利用状况的资源利用状况信息。
这里,系统信息存储部13b作为网络结构信息的具体例而例如存储“Internet->GW->FW->{VM1(Web),VM2(Web)}->VM3(DB)”,并且存储“GW”和“FW”是应对点。此外,在本例中,作为保护对象的VM1和VM2表示在web层进行动作的虚拟机器,VM3表示在DB(Data Base:数据库)层进行动作的虚拟机器。
此外,例如图4所示,系统信息存储部13b作为系统信息而按照每个应对点将表示位于攻击路径上的应对点的设备的“应对点”、表示应对点具备的应对功能的“应对功能”、表示应对点的资源利用状况的“资源利用状况信息”对应起来存储。
举出图4的例子具体进行说明,系统信息存储部13b将应对点“FW”、应对功能“Layer4切断”、资源利用状况信息“CPU使用率:10%”对应起来存储。这表示作为应对点的设备“FW”作为应对功能而具备“Layer4切断”,作为资源的利用状况而CPU的使用率是“10%”。另外,在图4的示例中,仅示出了关于作为应对点的FW的信息,而实际情况下,系统信息存储部13b还存储有关于作为其他应对点的设备的同样的系统信息。此外,上述各种数据仅为一例,可以任意进行变更。例如,资源利用状况信息可以不是CPU使用率而是存储器使用率。
控制部12具有用于储存规定了各种的处理步骤等的程序和所要数据的内部存储器,通过这些程序和数据来执行各种处理,而作为与本发明尤为密切关联的结构,具有收集部12a、提取部12b、选择部12c、取得部12d和输出部12e。
收集部12a收集作为与网络攻击有关的信息的网络攻击信息、以及作为与包括受到该网络攻击的设备的系统整体有关的信息的系统信息。并且,收集部12a将所收集的网络攻击信息储存在网络攻击信息存储部13a中,并将系统信息储存在系统信息存储部13b中。这里,收集部12a既可以每当在系统上探测到网络攻击时收集网络攻击信息和系统信息,也可以按照规定的间隔定期收集网络攻击信息和系统信息。此外,关于系统信息,可以仅在系统结构等发生了变更的情况下对其进行收集。
例如,收集部12a作为网络攻击信息而从安全分析系统20收集表示网络攻击的类别的“攻击的类别”、成为攻击者的终端的识别符的“攻击者IP地址”、成为受害者的终端的识别符的“受害者IP地址”、表示针对网络攻击的有效的应对功能的“有效的应对功能”。此外,例如,收集部12a作为系统信息而从安全分析系统20收集表示每个服务的利用路径和安全应对点的“网络结构信息”、网络上的每个应对点的“应对功能信息”、应对点的“资源利用状况信息”。
提取部12b根据通过收集部12a收集到的网络攻击信息和系统信息,确定网络攻击的攻击路径,将位于该攻击路径上且对于网络攻击具有有效的应对功能的设备作为应对点的候选进行提取。
例如,提取部12b将通过收集部12a收集到的攻击者IP地址、受害者IP地址和攻击的类别与网络结构信息建立对应,确定网络攻击的攻击路径,提取该攻击路径上的应对点,核对该每个应对点的应对功能信息与针对该网络攻击有效的应对功能,将对于该网络攻击具有有效的应对功能的设备作为应对点的候选进行提取。
这里,作为攻击路径的确定处理,例如,提取部12b根据通过收集部12a收集的表示每个服务的利用路径和安全应对点的网络结构信息,搜索所收集的攻击者IP地址和受害者IP地址,将从攻击者的终端到受害者的终端的路径确定为攻击路径,在此基础上将作为从攻击者的终端到受害者的终端的攻击路径所通过的应对点的通信设备或安全设备作为应对点进行提取。
这里,使用图5的示例,对确定网络攻击的攻击路径的处理进行说明。例如,提取部12b将网络攻击信息(攻击者IP地址、受害者IP地址、攻击的类别)映射到成为网络结构信息的图信息中,分析攻击路径,提取攻击路径上的应对点。
即,在图5的示例中,使用“互联网41->网关42->子网43->路由器(虚拟防火墙)44->子网45->VM(WAF)46->VM(Web)47->VM(DB)48”这样表示服务利用路径的图信息。对此,搜索所收集的攻击者IP地址“A.A.A.A”和受害者IP地址“10.1.0.40”的节点,根据服务利用路径在图上确定从攻击者节点搜寻至受害者节点的路径“互联网41->网关42->子网43->路由器(虚拟防火墙)44->子网45->VM(WAF)46->VM(Web)47”。
并且,在图5的示例中,提取部12b作为供攻击路径通过的应对点而提取“子网43”、“路由器(虚拟防火墙)44”、“子网45”、“VM(WAF)46”。另外,在图5的示例中,互联网41和网关42并非应对点。
此后,提取部12b对于提取出的应对点,比较所收集的网络上的每个应对点的应对功能与对网络攻击要求的有效的应对功能的信息,将具备针对此次的网络攻击有效的应对功能的应对点确定为应对点的候选。
这里,使用图6的示例,对提取应对点的候选的处理进行说明。图6是对提取应对点的候选的处理进行说明的图。在图6的示例中,针对网络攻击信息有效的应对功能是“层4(L4)切断”。并且,如图6举例所示,通过参照在系统信息存储部13b中存储的每个应对点的应对功能,由此能够把握到应对点的子网43具备L4切断和端口切断的应对功能,路由器(虚拟防火墙)44具备L4切断和L7切断的应对功能,子网45具备L4切断和端口切断的应对功能,而VM(WAF)46具备L4切断、L7切断和追加认证的应对功能。
提取部12b对在网络攻击信息存储部13a中存储的针对网络攻击的有效的应对功能与在系统信息存储部13b中存储的各应对点具备的应对功能进行比较,由此判别出应对点“子网43”、“路由器(虚拟防火墙)44”、“子网45”和“VM(WAF)46”均具备L4切断的应对功能,从而“子网43”、“路由器(虚拟防火墙)44”、“子网45”和“VM(WAF)46”都作为应对点的候选而被提取。
选择部12c使用所设定的优化逻辑而从通过提取部12b提取出的应对点的候选中选择应对点。具体而言,选择部12c使用选定与作为网络攻击的起点的攻击者的终端最近的应对点的优化逻辑或选定资源使用率最低的应对点的优化逻辑,选择应对点。另外,关于该优化逻辑,既可以在事先设定好所使用的优化逻辑,也可以根据攻击的类别等选择设定动态使用的优化逻辑。
即,作为优化逻辑,可以判断每个应对点的资源的使用率,基于资源的观点而选择空闲资源最多的应对点,此外,还可以判断每个应对点的场所,选择最靠近攻击者的应对点。另外,还可以选择两个优化逻辑中的任意一个逻辑。此外,既可以根据攻击的类别来自动选择优化逻辑,也可以综合判断与攻击者间的距离和资源使用率的双方来选择应对点。
例如,选择部12c针对通过提取部12b提取出的应对点的候选,使用选定与作为网络攻击的起点的攻击者的终端最近的应对点的优化逻辑,参照攻击路径,按照每个应对点候选分析在网络上的与攻击者的终端距离,选择应对点的候选中距离最短的应对点。
这里,使用图7的示例,对使用优化逻辑从应对点的候选中选择应对点的处理进行说明。图7是对使用优化逻辑从应对点的候选中选择应对点的处理进行说明的图。如图7所示,在选择部12c中,使用选定与作为网络攻击的起点的攻击者的终端最近的应对点的优化逻辑,参照攻击路径,分析“子网43”、“路由器(虚拟防火墙)44”、“子网45”和“VM(WAF)46”这四个分别在网络上的与攻击者的终端的距离,选择应对点候选中的与攻击者的距离最短的“子网43”。另外,在子网43中执行L4切断等的应对功能的情况下,实际是由子网43所包含的虚拟开关等执行该功能。
此外,例如,选择部12c对于通过提取部12b提取出的应对点的候选,使用选定资源使用率最低的应对点的优化逻辑,参照每个应对点候选的资源利用状况信息,选择应对点的候选中的资源使用率最低的应对点。
取得部12d取得由通过选择部12c选择出的应对点执行应对功能所需的参数。输出部12e将通过取得部12d取得的参数与表示通过选择部12c选择出的应对点和有效的应对功能的信息一起输出给外部的应对功能控制装置30。
这里,使用图8的示例,对取得执行应对点的应对功能所需的参数的处理进行说明。图8是对取得执行应对点的应对功能所需的参数的处理进行说明的图。例如,基于NAT(Network Address Translation:网络地址转换)等的理由,被检测出的受害者的IP地址与用于在应对点进行控制的受害者的IP地址有时会不同。在图8的示例中,被检测出的受害者的IP地址为“10.1.0.40”,而成为应对点的控制用参数的IP地址为“B.B.B.B”。对于该IP地址的差异,按照每个应对点将成为保护对象的VM的ID(例如,图8的示例中为VM47的VM名“VM2”等)作为统一的检索密钥。并且,使VM47分别保持由各应对点进行控制的情况下的IP地址。
使用图8的示例进行说明,例如,取得部12d在子网43被选择作为应对点的情况下,取得子网43的VM47的IP地址“B.B.B.B”。并且,输出部12e以使得子网43的虚拟开关等能够执行L4切断的方式,作为必要的参数而将VM47的IP地址“B.B.B.B”输出给应对功能控制装置30。
下面,使用图9,对优化装置10确定最优的应对点的处理的流程进行说明。图9是对优化装置确定最优的应对点的处理的流程进行说明的图。如图9所示,优化装置10通过网络攻击信息和系统信息来提取攻击路径上的应对点(参照图9的(1))。在图9的示例中,虚拟FW40C、虚拟NW40D、虚拟NW40F和虚拟WAF40G作为应对点而被提取。
接着,优化装置10从提取出的应对点中缩小具备有效的应对功能的应对点的候选范围(参照图9的(2))。在图9的示例中,作为应对点的虚拟FW40C、虚拟NW40D、虚拟NW40F和虚拟WAF40G均具备有效的应对功能“L4切断”,因而虚拟FW40C、虚拟NW40D、虚拟NW40F和虚拟WAF40G均成为应对点的候选。
并且,优化装置10通过优化逻辑从应对点的候选中选定最优解(参照图9的(3))。例如,如图9举例所示,优化装置10使用选定与作为网络攻击的起点的攻击者的终端最近的应对点的优化逻辑,将虚拟FW40C选定为最靠近攻击者的应对点,从而能够通过虚拟FW40C执行L4切断。
这样,在优化装置10中,收集攻击者、攻击类别、应对功能等的网络攻击信息和网络结构信息或资源利用状况信息等的系统信息,使用优化逻辑来动态确定最优的应对点和应对功能,由此可获得能够在最靠近攻击者的点或网络和节点的负荷较低的点等最优的点使用最优的应对功能防御网络攻击的效果。
即,优化装置10例如按照每次网络攻击分析最新的拓扑信息,提取针对发生攻击具备有效的应对功能的应对点的候选,基于多样性的优化观点从应对候选中确定最优解,能够实现适当且效率的安全应对。
[优化装置的处理的一例]
下面,使用图10,对优化装置10的处理进行说明。图10是表示第一实施方式的优化装置的应对点优化处理的流程的流程图。
如图10所示,优化装置10的收集部12a例如在系统上发生了网络攻击的情况下,从安全分析系统20收集网络攻击信息和系统信息(步骤S101)。并且,优化装置10的提取部12b将网络攻击信息(攻击者IP地址、受害者IP地址、攻击的类别)映射到系统信息中,分析攻击路径,提取攻击路径上的应对点(步骤S102)。
接着,优化装置10的提取部12b按照每个应对点核对能够执行的应对功能和所要求的有效的应对功能,提取应对点的候选(步骤S103)。并且,优化装置10的选择部12c通过优化逻辑选择最优的应对点和应对功能(步骤S104)。例如,选择部12c使用选定与作为网络攻击的起点的攻击者的终端最近的应对点的优化逻辑或选定资源使用率最低的应对点的优化逻辑,选择应对点。
此后,优化装置10的输出部12e将最优的应对点和应对功能输出给外部的应对功能控制装置30(步骤S105)。例如,输出部12e将通过取得部12d取得的参数与表示通过选择部12c选择出的应对点和有效的应对功能的信息一起输出到外部。
[第一实施方式的效果]
这样,第一实施方式的系统的优化装置10收集作为与网络攻击有关的信息的网络攻击信息、以及作为与包括受到该网络攻击的设备的系统整体有关的信息的系统信息。并且,优化装置10根据所收集的网络攻击信息和系统信息,确定网络攻击的攻击路径,将位于该攻击路径上且对于网络攻击具备有效的应对功能的设备作为应对点的候选进行提取。接着,优化装置10使用被设定的优化逻辑从被提取出的应对点的候选中选择应对点。由此,对应于网络上的设备的负荷状态或网络结构的动态变更,能够在最优的应对点使用最优的应对功能适当地防御网络攻击。
即,在优化装置10中,收集攻击者、攻击类别、应对功能等的网络攻击信息和网络结构信息或资源利用状况信息等的系统信息,使用优化逻辑来动态确定最优的应对点和应对功能,由此可获得能够在最靠近攻击者的点或网络和节点的负荷较低的点等最优的点使用最优的应对功能防御网络攻击的效果。例如,优化装置10针对每次网络攻击分析最新的拓扑信息,提取针对发生攻击具备有效的应对功能的应对点的候选,基于多样性的优化观点从应对候选中确定最优解,能够实现适当且效率的安全应对。
[系统结构等]
此外,图示出的各装置的各结构要素是功能性的概念,不必物理上按照图示那样构成。即,各装置的分散、联合的具体方式不限于图示的内容,可以将其全部或一部分按照各种负荷或使用状况等以任意的单位在功能或物理方面分散、联合构成。进而,通过各装置进行的各处理功能的全部或任意一部分可通过CPU和由该CPU解析执行的程序而实现,或者可作为基于布线逻辑的硬件而实现。例如,可以将收集部12a和提取部12b联合起来。
此外,在本实施方式所说明的各处理中作为自动执行而进行说明的处理的全部或一部分也可以手动执行,或者,作为手动执行而进行说明的处理的全部或一部分也可以通过公知的方法来自动执行。此外,关于在上述说明书中或附图中所示的处理步骤、控制步骤、具体的名称、包含各种的数据或参数的信息,除特别记载的情况以外可任意变更。
[程序]
此外,还可以制作出将由上述实施方式的优化装置10执行的处理通过计算机可执行的语言进行描述的程序。这种情况下,计算机执行程序,由此可获得与上述实施方式同样的效果。进而,将该程序记录在计算机可读取的记录介质中,使计算机读入在该记录介质中记录的程序并执行,由此可实现与上述实施方式同样的处理。以下,对执行实现与优化装置10同样的功能的优化程序的计算机的一例进行说明。
图11是表示执行优化程序的计算机的图。如图11所示,计算机1000例如具有存储器1010、CPU1020、硬盘驱动器接口1030、磁盘驱动器接口1040、串行端口接口1050、视频适配器1060和网络接口1070。这些各部通过总线1080而连接起来。
存储器1010包括ROM(Read Only Memory:只读存储器)1011和RAM1012。ROM1011例如存储BIOS(Basic Input Output System:基本输入输出系统)等的引导程序。硬盘驱动器接口1030与硬盘驱动器1090连接。磁盘驱动器接口1040与磁盘驱动器1041连接。磁盘驱动器1041例如供磁盘或光盘等的可装卸的存储介质插入。串行端口接口1050例如供鼠标1110和键盘1120连接。视频适配器1060例如供显示器1130连接。
这里,如图11所示,硬盘驱动器1090例如存储OS1091、应用程序1092、程序模块1093和程序数据1094。在上述实施方式中说明的各表例如被存储在硬盘驱动器1090或存储器1010中。
此外,优化程序例如作为记述有通过计算机1000执行的指令的程序模块1093而被存储在硬盘驱动器1090中。具体而言,记述有由在上述实施方式中说明的优化装置10执行的各处理的程序模块1093被存储在硬盘驱动器1090中。
此外,用于优化程序的信息处理的数据作为程序数据1094而例如被存储在硬盘驱动器1090中。并且,CPU1020根据需要将在硬盘驱动器1090中存储的程序模块1093或程序数据1094读出到RAM1012,从而执行上述各步骤。
另外,优化程序的程序模块1093或程序数据1094不限于被存储在硬盘驱动器1090中的情况,例如也可以被存储在可装卸的存储介质中,通过磁盘驱动器1041等而由CPU1020将其读出。或者,优化程序的程序模块1093或程序数据1094还可以被存储在通过LAN(LocalArea Network:局域网)或WAN(Wide Area Network:广域网)等的网络而连接的其他计算机中,通过网络接口1070而由CPU1020将其读出。
标号说明
10:优化装置,11:通信处理部,12:控制部,12a:收集部,12b:提取部,12c:选择部,12d:取得部,12e:输出部,13:存储部,13a:网络攻击信息存储部,13b:系统信息存储部,20:安全分析系统,30:应对功能控制装置。
Claims (5)
1.一种优化装置,其特征在于,该优化装置具有:
收集部,其收集网络攻击信息以及系统信息,该网络攻击信息是与网络攻击有关的信息,该系统信息是与包括受到了该网络攻击的设备的系统整体有关的信息;
提取部,其根据通过所述收集部收集到的网络攻击信息和系统信息确定所述网络攻击的攻击路径,将位于该攻击路径上且对于所述网络攻击具有有效的应对功能的设备作为应对点的候选进行提取;以及
选择部,其使用所设定的优化逻辑,从通过所述提取部提取出的应对点的候选中选择应对点,
所述收集部作为所述网络攻击信息而收集攻击类别信息、攻击者识别符、受害者识别符以及应对功能信息,该攻击类别信息表示所述网络攻击的类别,该攻击者识别符识别攻击者的终端,该受害者识别符识别受害者的终端,该应对功能信息表示对于所述网络攻击的有效的应对功能,作为所述系统信息收集网络结构信息、每个所述应对点的应对功能的信息以及资源利用状况信息,该网络结构信息表示每个服务的利用路径和能够成为应对点的候选的设备,该资源利用状况信息表示所述应对点的资源利用状况,
所述提取部将通过所述收集部收集到的攻击者识别符、受害者识别符和攻击类别信息与所述网络结构信息建立对应,确定所述网络攻击的攻击路径,提取该攻击路径上的应对点,核对每个该应对点的应对功能信息与对于该网络攻击有效的应对功能,将具有对于该网络攻击有效的应对功能的设备作为应对点的候选进行提取,
所述提取部按照每个所述网络攻击分析最新的拓扑信息,提取针对发生攻击具备有效的应对功能的应对点的候选,
所述选择部基于多样性的优化观点从应对候选中确定最优解。
2.根据权利要求1所述的优化装置,其特征在于,
所述选择部对于通过所述提取部提取出的应对点的候选,使用优化逻辑,参照所述攻击路径,对所述应对点的每个候选分析网络上的与攻击者的终端之间的距离,选择所述应对点的候选中距离最短的应对点,其中,该优化逻辑选定与作为所述网络攻击的起点的攻击者的终端最近的应对点。
3.根据权利要求1所述的优化装置,其特征在于,
所述选择部对于通过所述提取部提取出的应对点的候选,使用优化逻辑,参照表示所述应对点的每个候选的资源利用状况的资源利用状况信息,选择所述应对点的候选中资源使用率最低的应对点,其中,该优化逻辑选定资源使用率最低的应对点。
4.根据权利要求1所述的优化装置,其特征在于,该优化装置还具有:
取得部,其取得通过所述选择部选择出的应对点执行应对功能所需的参数;以及
输出部,其将通过所述取得部取得的参数与表示通过所述选择部选择出的应对点和所述有效的应对功能的信息一起输出到外部。
5.一种优化方法,由优化装置执行,该优化方法的特征在于,该优化方法包括:
收集工序,收集网络攻击信息以及系统信息,该网络攻击信息是与网络攻击有关的信息,该系统信息是与包括受到了该网络攻击的设备的系统整体有关的信息;
提取工序,根据通过所述收集工序收集到的网络攻击信息和系统信息,确定所述网络攻击的攻击路径,将位于该攻击路径上且对于所述网络攻击具有有效的应对功能的设备作为应对点的候选进行提取;以及
选择工序,使用所设定的优化逻辑,从通过所述提取工序提取出的应对点的候选中选择应对点,
在所述收集工序中,作为所述网络攻击信息而收集攻击类别信息、攻击者识别符、受害者识别符以及应对功能信息,该攻击类别信息表示所述网络攻击的类别,该攻击者识别符识别攻击者的终端,该受害者识别符识别受害者的终端,该应对功能信息表示对于所述网络攻击的有效的应对功能,作为所述系统信息收集网络结构信息、每个所述应对点的应对功能的信息以及资源利用状况信息,该网络结构信息表示每个服务的利用路径和能够成为应对点的候选的设备,该资源利用状况信息表示所述应对点的资源利用状况,
在所述提取工序中,将在所述收集工序中收集到的攻击者识别符、受害者识别符和攻击类别信息与所述网络结构信息建立对应,确定所述网络攻击的攻击路径,提取该攻击路径上的应对点,核对每个该应对点的应对功能信息与对于该网络攻击有效的应对功能,将具有对于该网络攻击有效的应对功能的设备作为应对点的候选进行提取,
在所述提取工序中,按照每个所述网络攻击分析最新的拓扑信息,提取针对发生攻击具备有效的应对功能的应对点的候选,
在所述选择工序中,基于多样性的优化观点从应对候选中确定最优解。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014228053 | 2014-11-10 | ||
| JP2014-228053 | 2014-11-10 | ||
| PCT/JP2015/081233 WO2016076207A1 (ja) | 2014-11-10 | 2015-11-05 | 最適化装置、最適化方法および最適化プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107077433A CN107077433A (zh) | 2017-08-18 |
| CN107077433B true CN107077433B (zh) | 2020-03-03 |
Family
ID=55954296
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580060580.6A Active CN107077433B (zh) | 2014-11-10 | 2015-11-05 | 优化装置、优化方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10616270B2 (zh) |
| EP (1) | EP3203378B1 (zh) |
| JP (1) | JP6280236B2 (zh) |
| CN (1) | CN107077433B (zh) |
| WO (1) | WO2016076207A1 (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2018133753A (ja) * | 2017-02-16 | 2018-08-23 | 日本電信電話株式会社 | 対処制御システム及び対処制御方法 |
| JP6649296B2 (ja) * | 2017-02-20 | 2020-02-19 | 日本電信電話株式会社 | セキュリティ対処案設計装置及びセキュリティ対処案設計方法 |
| JP6831763B2 (ja) * | 2017-09-08 | 2021-02-17 | 株式会社日立製作所 | インシデント分析装置およびその分析方法 |
| JP6928265B2 (ja) * | 2018-04-04 | 2021-09-01 | 日本電信電話株式会社 | 情報処理装置及び情報処理方法 |
| JP7073976B2 (ja) | 2018-08-07 | 2022-05-24 | 日本電信電話株式会社 | 管理装置および管理方法 |
| WO2020136837A1 (ja) * | 2018-12-27 | 2020-07-02 | 三菱電機株式会社 | アタックツリー生成装置、アタックツリー生成方法およびアタックツリー生成プログラム |
| US20220159031A1 (en) * | 2019-03-28 | 2022-05-19 | Nec Corporation | Analysis system, method, and program |
| WO2023223515A1 (ja) * | 2022-05-19 | 2023-11-23 | 日本電信電話株式会社 | 攻撃経路推定システム、攻撃経路推定装置、攻撃経路推定方法及びプログラム |
| CN117217848B (zh) * | 2023-11-08 | 2024-01-26 | 深圳海辰储能科技有限公司 | 一种储能交易方法、装置和存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004086880A (ja) * | 2002-06-28 | 2004-03-18 | Oki Electric Ind Co Ltd | 警戒システム、広域ネットワーク防護システム、不正アクセス追跡方法、不正アクセス検知システム、セキュリティ管理方法及び攻撃防護方法 |
| JP2006050442A (ja) * | 2004-08-06 | 2006-02-16 | Nippon Telegr & Teleph Corp <Ntt> | トラヒック監視方法及びシステム |
| US7065789B1 (en) * | 2001-05-22 | 2006-06-20 | Computer Associates Think, Inc. | System and method for increasing heuristics suspicion levels in analyzed computer code |
| JP2006350561A (ja) * | 2005-06-14 | 2006-12-28 | Matsushita Electric Ind Co Ltd | 攻撃検出装置 |
| JP2012195847A (ja) * | 2011-03-17 | 2012-10-11 | Fujitsu Ltd | ファイアウォール装置,処理方法及びファイアウォールシステム |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1295454B1 (en) | 2000-06-30 | 2005-05-11 | BRITISH TELECOMMUNICATIONS public limited company | Packet data communications |
| US20020035698A1 (en) * | 2000-09-08 | 2002-03-21 | The Regents Of The University Of Michigan | Method and system for protecting publicly accessible network computer services from undesirable network traffic in real-time |
| US7278019B2 (en) * | 2002-11-04 | 2007-10-02 | Hewlett-Packard Development Company, L.P. | Method of hindering the propagation of a computer virus |
| JP4520703B2 (ja) * | 2003-03-31 | 2010-08-11 | 富士通株式会社 | 不正アクセス対処システム、及び不正アクセス対処処理プログラム |
| US9398037B1 (en) * | 2004-09-27 | 2016-07-19 | Radix Holdings, Llc | Detecting and processing suspicious network communications |
| JP4747733B2 (ja) * | 2005-08-22 | 2011-08-17 | ブラザー工業株式会社 | ノード装置、共用情報更新処理プログラム、共用情報更新方法、及び情報共有システム |
| US7836502B1 (en) * | 2007-07-03 | 2010-11-16 | Trend Micro Inc. | Scheduled gateway scanning arrangement and methods thereof |
| US8782793B2 (en) * | 2012-05-22 | 2014-07-15 | Kaspersky Lab Zao | System and method for detection and treatment of malware on data storage devices |
| US9143519B2 (en) * | 2013-03-15 | 2015-09-22 | Mcafee, Inc. | Remote malware remediation |
| US10025905B2 (en) * | 2013-09-03 | 2018-07-17 | Qualcomm Incorporated | Communication device resource allocation based on medical data criticality and resource status |
| US9332029B1 (en) * | 2014-12-24 | 2016-05-03 | AO Kaspersky Lab | System and method for malware detection in a distributed network of computer nodes |
-
2015
- 2015-11-05 JP JP2016559011A patent/JP6280236B2/ja active Active
- 2015-11-05 US US15/522,196 patent/US10616270B2/en active Active
- 2015-11-05 CN CN201580060580.6A patent/CN107077433B/zh active Active
- 2015-11-05 EP EP15858610.7A patent/EP3203378B1/en active Active
- 2015-11-05 WO PCT/JP2015/081233 patent/WO2016076207A1/ja active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7065789B1 (en) * | 2001-05-22 | 2006-06-20 | Computer Associates Think, Inc. | System and method for increasing heuristics suspicion levels in analyzed computer code |
| JP2004086880A (ja) * | 2002-06-28 | 2004-03-18 | Oki Electric Ind Co Ltd | 警戒システム、広域ネットワーク防護システム、不正アクセス追跡方法、不正アクセス検知システム、セキュリティ管理方法及び攻撃防護方法 |
| JP2006050442A (ja) * | 2004-08-06 | 2006-02-16 | Nippon Telegr & Teleph Corp <Ntt> | トラヒック監視方法及びシステム |
| JP2006350561A (ja) * | 2005-06-14 | 2006-12-28 | Matsushita Electric Ind Co Ltd | 攻撃検出装置 |
| JP2012195847A (ja) * | 2011-03-17 | 2012-10-11 | Fujitsu Ltd | ファイアウォール装置,処理方法及びファイアウォールシステム |
Also Published As
| Publication number | Publication date |
|---|---|
| US10616270B2 (en) | 2020-04-07 |
| US20170339183A1 (en) | 2017-11-23 |
| WO2016076207A1 (ja) | 2016-05-19 |
| JP6280236B2 (ja) | 2018-02-14 |
| CN107077433A (zh) | 2017-08-18 |
| EP3203378A4 (en) | 2018-05-16 |
| JPWO2016076207A1 (ja) | 2017-04-27 |
| EP3203378B1 (en) | 2019-07-17 |
| EP3203378A1 (en) | 2017-08-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107077433B (zh) | 优化装置、优化方法 | |
| US11025664B2 (en) | Identifying security actions for responding to security threats based on threat state information | |
| CN109922021B (zh) | 安全防护系统以及安全防护方法 | |
| EP2410500B1 (en) | Network system | |
| CN108353068B (zh) | Sdn控制器辅助的入侵防御系统 | |
| WO2018191089A1 (en) | System and method for detecting creation of malicious new user accounts by an attacker | |
| CN109831507B (zh) | 物联网系统、负载均衡方法和存储介质 | |
| EP3275151A1 (en) | Collecting domain name system traffic | |
| CN108156079B (zh) | 一种基于云服务平台的数据包转发系统及方法 | |
| AU2016335722A1 (en) | Identification system, identification device and identification method | |
| EP3544258A1 (en) | Enforcing threat policy actions based on network addresses of host threats | |
| JP6181881B2 (ja) | 制御装置、制御システム、制御方法、および、制御プログラム | |
| KR101341596B1 (ko) | 웹 애플리케이션 통신 데이터의 사용자별 모니터링 장치 및 방법 | |
| Nazar et al. | Signature and flow statistics based anomaly detection system in software-defined networking for 6G internet of things network | |
| JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| JP6538618B2 (ja) | 管理装置及び管理方法 | |
| JP6272258B2 (ja) | 最適化装置、最適化方法および最適化プログラム | |
| Jmila et al. | Designing security-aware service requests for NFV-enabled networks | |
| JP6708575B2 (ja) | 分類装置、分類方法および分類プログラム | |
| JP6476853B2 (ja) | ネットワーク監視システム及び方法 | |
| US20170223060A1 (en) | Security control | |
| JP6649296B2 (ja) | セキュリティ対処案設計装置及びセキュリティ対処案設計方法 | |
| JP2016208243A (ja) | 負荷分散装置、負荷分散方法及びプログラム | |
| Shahzad et al. | AutoDrop: automatic DDoS detection and its mitigation with combination of Openflow and Sflow | |
| CN110995719B (zh) | 一种nat设备的识别方法、装置、系统及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |